Professional Documents
Culture Documents
TEMARIO
1: Conceptos Generales 2: reas que puede cubrir 3: Evaluacin de Riesgos 4: Fases de Auditoria de seguridad 5: Fuentes de la auditoria 6: El perfil del auditor 7: El informe 8: Auditoria externa
02
INTRODUCCIN
La Auditoria evala si los modelos de seguridad estn en concordancia con los criterios de la entidad, as como con las nuevas arquitecturas, las distintas plataformas, y las posibilidades y riesgos de las comunicaciones Para que resulte til la auditoria, los auditores han de ser competentes e independientes
03
Controles Directivos Aspectos regulatorios, jurdicos y riesgos Fsicos Control de Acceso y Datos personales Entornos de Produccin/Desarrollo/Outsourcing BCP / DRP
04
CONTROLES DIRECTIVOS
Los controles Directivos, es decir, los fundamentos de la seguridad: polticas, planes, objetivos de control, funciones, existencia y utilidad de algn comit relacionado, presupuesto as como que existen sistemas y mtodos de evaluacin peridica de riesgos El desarrollo de las polticas, procedimientos, posibles estndares, normas y guas, etc.
05
Verificar que para los grupos anteriores se han considerado el marco jurdico aplicable as como las regulaciones o los requerimientos aplicables a dada entidad (BCRA, AFIP, SSN, ANSES, etc.) Amenazas fsicas externas: protecciones frente a inundaciones, incendios, explosiones, corte de lnea o suministros, terrorismo, huelgas, terremotos etc.
06
Los distintos controles de acceso fsicos, lgicos y administrativos Proteccin de datos conforme las regulaciones vigentes, proteccin segn la clasificacin que exista, designacin de responsables propietarios Proteccin de datos conforme las regulaciones vigentes, proteccin segn la clasificacin que exista, designacin de responsables propietarios
07
El entorno de produccin, operacin y administracin de datos Contratos de outsourcing en el cumplimiento de tareas del rea de seguridad o sistemas El desarrollo de aplicaciones en un entorno seguro, verificando que se incorporan controles en los productos desarrollados y que estos resulten auditables. Que no se utilicen datos reales en entornos de desarrollo y prueba Continuidad de las operaciones DRP y BCP
08
EVALUACIN DE RIESGOS
Identificacin de los Riesgos Amenazas y vulnerabilidades Que se evala? Tipo de Evaluacin de Riesgos
09
IDENTIFICACIN DE RIESGOS
Al igual que en la seguridad de la informacin, en auditoria se deben identificar los riegos, cuantificar sus probabilidades e impacto y analizar las medidas que los peden mitigar Para evaluar los riesgos es necesario identificar el tipo de informacin almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de entidad, la entidad misma y el momento de la auditoria. Para ello comnmente se utilizan listado o sistemas expertos
10
AMENAZAS Y VULNERABILIDADES
Revisar si se han considerado las amenazas o evaluarlas si es el objetivo de la auditoria: errores y negligencia en general, desastres naturales, fallos de instalaciones, o bien fraudes o delitos que pueden generar daos a las personas: datos, programas, redes, instalaciones u otros activos Para eso, se evalan las vulnerabilidades que existen, ya que la proteccin se comprometer con mayor probabilidad en los aspectos mas dbiles, primero lugar donde intentarn atacar quienes no estn autorizados
11
QUE SE EVALA?
Se evala que la seguridad es realmente una preocupacin corporativa, no solo por la existencia de presupuesto para ella, sino por el grado de compromiso por los distintos sectores y personas de la organizacin Se verifica que exista un comit que fije o apruebe los objetivos correspondientes y controle en que medida se alcanzan, que modelo de seguridad se ha implantado, que polticas y procedimientos existen, desarrollo de aplicaciones se realiza en un entorno seguro, si se realiza la separacin de ambientes, si los seguros cubren los riesgos residuales, si esta prevista la recuperacin en caso de incidentes, etc.
12
Como vimos, la evaluacin de riesgos puede ser global: todos los sistemas de informacin, ambientes y plataformas, que es habitual cuando se realiza la auditoria por primera vez Comnmente, cuado se termina esta etapa, se comienzan a realizar evaluaciones de riesgos especficos
13
FASES DE LA AUDITORIA
Determinacin de los objetivos y delimitacin del alcance y profundidad de la auditoria, que incluye el perodo bajo anlisis Anlisis de las posibles fuentes y recopilacin de informacin Determinacin del plan de trabajo y de los recursos y plazos que llevar la auditoria Adaptacin de cuestionarios, de herramientas de control (analizadores de datos, programas de auditoria, etc.) o perfiles especficos de acceso (varios perfiles de una aplicacin, tablas de datos, etc)
14
FASES DE LA AUDITORIA
Realizacin de entrevistas y pruebas Anlisis de resultados y valoracin de riesgos Elaboracin del informe borrador y posible revisin cruzada interna Presentacin y discusin del informe borrador Informe definitivo, y seguimiento de auditorias anteriores (en caso de corresponder)
15
Luego de la definicin de los objetivos, mbito y profundidad, y en funcin a las posibles fuentes y recopilacin de informacin a utilizar y plan de trabajo estipulado, es que se definen las tcnicas, mtodos y herramientas con las cuales se ejecutar la auditoria. (ptos 4 y 5) Como mtodos y tcnicas se pueden considerar los cuestionarios, las entrevistas, la observacin los muestreos, las CAATs (Computer Aided Auditing Techniques) Las auditorias de datos deben efectuarse en lo posible con sistemas de auditoria que impidan la modificacin de la fuente de informacin (datos originales) tales como ACL, IDEA, etc.
16
17
Entrevistas a los sectores, y a diferentes niveles de responsabilidad Programas, sistemas operativos y software e base en general: versiones, parches, opciones y parmetros La observacin: se considera una fuente de auditoria Actas de reuniones relacionadas Documentacin de planes de continuidad de negocios y planes de contingencia y las pruebas que se realizan sobre los mismos Informes de auditores externos o consultores contratados Entornos de prueba y desarrollo
18
El auditor debe tener formacin en la materia y sobre todo experiencia acorde con la funciones y reas a auditar: seguridad fsica, sistemas operativos, bases de datos, plataformas, lenguajes de programacin, etc. El perfil del auditor debe cumplir con la caracterstica de ser independiente de los auditados, capacidad de anlisis y de sntesis, y no tener intereses meramente econmicos
19
TIPO DE FORMACIONES
Al momento de definir al auditor interno de sistemas de informacin surgen 3 posibilidades: La seleccin de auditores de otras reas: estos sern expertos en las tcnicas y procesos de auditoria pero en general desconocern las particularidades tcnicas y riesgos de las tecnologas de la informacin La seleccin de expertos tcnicos en sistemas de informacin: estos no sern expertos en las tcnicas y procesos de auditoria, pero conocern mas a fondo los aspectos de sistemas de informacin y los riesgos asociados a estas La seleccin de alguien que provenga de otra organizacin: estos pueden contar con las experiencia de los primeros y de los segundos, e incluso conocer los procesos del rea a auditar, e incluso tienen una ventaja mas, no conocen a las personas que sern auditados
20
DEPENDENCIA FUNCIONAL
El auditor NO debe depender del rea de sistemas de informacin/Informtica/ tecnologa, ni de ninguna otra rea que pueda ser auditada (reas operativas que emplean sistemas de informacin), a fin de mantener independencia en sus anlisis y opiniones El rea debe formar parte del staff de un directorio general que este por encima de las reas que son objeto de auditoria
21
El informe de auditoria debe dictaminar sobre la adecuacin de las medidas y controles de la entidad, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deber incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuesta El informe debe incluir un resumen ejecutivo para la Direccin EL INFORME DEBE SER AUTOSUFICIENTE
22
CONTENIDO BSICO
Objetivo de la auditoria Alcance de la auditoria Metodologa de evaluacin de riesgos y estndares utilizados Antecedentes Hallazgos de la auditoria/observaciones
23
El informe necesariamente debe ser revisado por los auditados y discutido si es necesario antes de emitir el informe definitivo La entidad decide que acciones tomar a partir del informe, y en muchos casos los auditores internos hacen seguimiento de las implementaciones y mejoras en los puntos observados
24
Se establecen la gravedad de las observaciones y hallazgos de la auditoria con el objetivo de establecer las medidas correctivas segn su importancia y prioridad Las organizaciones que cuentan con un adecuado sistema de control interno, poseen un Comit de Control Interno, cuya composicin contempla al menos un Director sin funciones ejecutivas La mejor practica, luego de la salida del informe final, es establecer entre el comit de auditoria, el rea auditada y los directivos de la entidad, un plan de regularizacin de los puntos observados en la auditoria
25
Dependiendo la organizacin, el informe debe ser presentado al Directorio o bien a un Comit de Auditora o de Seguridad
26
La auditoria externa evala si la organizacin, a travs de su rea de seguridad, auditoria interna u otras reas de control: Ha evaluado de forma adecuada los riesgos Si los informes han llegado a los destinatarios correspondientes Si se estn tomando las medidas pertinentes Si el proceso se realiza con frecuencia necesaria o corresponda a un control aislado
27
La entidad de auditoria externa debe ser independiente de la entidad auditada: si esta ofreciendo otros servicios a la vez o incluso si hay sido proveedora de auditorias internas, puede interferir en la generacin de un informe veraz, objetivo y completo Los auditores deben ser competentes respecto de los objetivos a ser auditados La auditoria debe ser requerida por la mxima autoridad de la entidad, ya que esta auditar tambin el cumplimiento y funcionamiento de la auditoria interna
28
REFERENCIAS
Auditoria informtica Un enfoque prctico, por Emilio del Peso Navarro y Mario Piattini Editorial RA-MA La seguridad de los datos de carcter personal, por Emilio del Peso Navarro y Miguel Ramos Gonzales Editorial Diaz de Santos Manual de certificacin CISA (certified Information Systems Auditor)
29
Referencias